Специалисты по информационной безопасности нашли новый способ атаки на пользователей Chrome и Firefox. Он может очень сильно подпортить жизнь людям, так как позволяет хакерам организовывать за ними скрытую слежку.
Новый способ атаки стал возможен из-за внесенных в стандарт CSS изменений, которые появились еще в 2016 году. Благодаря им вредоносный сайт может отслеживать активность пользователей. Чтобы доказать опасность нового типа атак, специалисты Руслан Хабалов из швейцарского подразделения Google и Дарио Вайсер, который является независимым ИБ-экспертом, решили продемонстрировать ее в действии, отслеживая пользователей крупнейшей социальной сети Facebook.
По словам специалистов, проблема затрагивает функцию mix-blend-mode, которую добавили в CSS3. Атаку возможно осуществить только в том случае, если злоумышленнику удастся заманить пользователя на вредоносный сайт, на котором предварительно встроены нужные iframe. Чтобы провести демонстрационную атаку, эксперты воспользовались виджетом Facebook. Но на самом деле, по их словам, следить за пользователями можно не только через соцсеть. Получать информацию о пользователях хакеры могут через очень большое число сайтов.
Для совершения атаки специалисты наложили на iframe множество DIV-слоев, каждый размером 1x1 пиксель. Таким образом, пользователь ничего даже не заметит. С помощью данной техники экспертам удалось узнать имя пользователя, заполучить картинку аватара и узнать, на каких сторонних сайтах он оставлял лайки под своим именем. Чтобы получить всю эту информацию, понадобится чуть более 20-ти минут, а иногда и меньше.
Специалисты сразу же после обнаружения сообщили о найденной проблеме в компании Google и Mozilla, но как оказалось, их уже обогнали. Еще раньше другой специалист, известный под прозвищем Max May, обнаружил и сообщил об уязвимости.
Сегодня пользователям уже не стоит бояться описанной уязвимости. Ее устранили в версии Chrome 63 и Firefox 60.